[GTER] Relatório Spoofer para GTER - Out/2018

Gabriel Mineiro mineiro at tca.com.br
Tue Nov 13 16:50:12 -02 2018


O fabricando é nacional e homologado 😉

Me enviaram a pouco a informação de que o rp_filter vem desabilitado por padrão e irão enviar um firmware beta com a opção de habilitar no cli.

-----Mensagem original-----
De: gter <gter-bounces at eng.registro.br> Em nome de Douglas Fischer
Enviada em: terça-feira, 13 de novembro de 2018 11:31
Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Assunto: Re: [GTER] Relatório Spoofer para GTER - Out/2018

E como eu ando no modo VENENO, aí vai:
Só para provocar a fúria de todos os abiguinhos que preferem pagar cirurgia de silicone na dona patroa ao invés de comprar equipamento de qualidade...

Hey... Você!
  - Você mesmo que compra ONU(Ou Router) que não é homologada pela ANATEL!
Ou Você!
  - Você que compra ONU homologada como L2 e troca o firmware para L3!
    Ou você acha que a gente não sabe das malandraJiss, seu malandrão!?!?!

Éééé! Você mesmo!
É por causa de caras como você que temos problemas na adoção de IPv6!
Ou vai me dizer que você não sabia que essas ONUs não suportam IPv6 adequadamente?

É por causa de caras como você que existem problemas de Spoofing Nateado!
Ééééé! A parte "Router" dessas ONUs que você está colocando não tem quase nenhuma das features necessárias para se assegurar um mínimo de segurança para Internet.

---

Zoações a parte, é preciso que se repense essa questão das ONUs.

Sei que vou ser "trucidado", mas uma boa parte do volume desse tipo de problemas no nicho de pequenos ISPs é culpa da Fiberhome.
Isso precisa ser trabalhado, e logo.








Em ter, 13 de nov de 2018 às 10:51, Douglas Fischer < fischerdouglas at gmail.com> escreveu:

> Então Gabriel...
> Se você scriptar isso na CLI da OLT, fica "fácil" de fazer essa 
> configuração.
> Mas na unha é realmente inviável!
>
> E se as CPEs tivere o RP_Filter suportado nativamente, esse tipo de 
> problema não aconteceria!
>
>
>
>
>
> Em ter, 13 de nov de 2018 às 10:40, Gabriel Mineiro 
> <mineiro at tca.com.br>
> escreveu:
>
>> Exatamente. O rp_filter no BRAS resolve o problema quando o pacote 
>> com origem falsificada chega nele, mas quando a CPE (que no meu caso 
>> é uma ONU) traduz tudo, o pacote vai passar.
>>
>> Usando ACL na CPE consegui bloquear, porém não é escalável na minha visão.
>>
>>
>> -----Mensagem original-----
>> De: gter <gter-bounces at eng.registro.br> Em nome de Douglas Fischer 
>> Enviada em: segunda-feira, 12 de novembro de 2018 17:17
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes < 
>> gter at eng.registro.br>
>> Assunto: Re: [GTER] Relatório Spoofer para GTER - Out/2018
>>
>> Não resolve Cristofer!
>>
>> P.S.: NAT é coisa do capeta!
>>
>> Imagine uma rede interna com IP192.168.1.0/24.
>> Agora imagine uma maquina comprometida nessa rede interna.
>> Essa maquina está soltando pacotes com IP 198.41.0.4(Esse é o A dos 
>> root servers).
>>
>> Aí o CPE do cliente está com aquele NAT porco e maroto, que pega 
>> qualquer pacote que chegue pela LAN, e traduz para o IP da WAN.
>>
>> Esses pacote vão passar pelo B-RAS como se fosse o IP do CPE.
>>
>> Dependendo do tipo do ataque uma botnet vá fazer, mesmo o uRP-Filter 
>> em modo Strict nos B-RAS não resolve.
>> (Um exemplo simplezinho seria ataque de syn flood)
>>
>> Capisco?
>>
>>
>> Lógico que nesse cenário, diferentemente do spoofing padrão, torna-se 
>> possível identificar a origem, e comunicar o gerador desse tráfego 
>> malicioso.
>> Mas pensa no trabalhão que daria isso!?!?!
>>
>>
>> Em seg, 12 de nov de 2018 às 16:50, Cristofer Velloso < 
>> cristofervellosol at gmail.com> escreveu:
>>
>> > um RPF strict no BRAS resolve  ;)
>> > []os
>> > Cristofer
>> > Em Seg, 2018-11-12 às 16:17 +0000, Gabriel Mineiro escreveu:
>> > > Referente as CPEs que não implementam RP_Filter e fazem tradução 
>> > > de tudo que bate na LAN, existe algo que possamos fazer além de 
>> > > cobrar do fabricante?
>> > >
>> > > Gabriel Mineiro
>> > >
>> > > -----Mensagem original-----
>> > > De: gter <gter-bounces at eng.registro.br> Em nome de Douglas 
>> > > Fischer Enviada em: segunda-feira, 12 de novembro de 2018 13:36
>> > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes 
>> > > <gter at eng.r egistro.br>
>> > > Assunto: Re: [GTER] Relatório Spoofer para GTER - Out/2018
>> > >
>> > > Alô galera...
>> > >
>> > > Fiquei feliz de ver alguns amigos saindo da lista de Emissores de 
>> > > Spoofing.
>> > > FELIZ MESMO!
>> > >
>> > > Resolvi tentar dar uma motivada na galera para que eles façam a 
>> > > lição de casa e eliminem as possibilidades de Spoofing em suas casas.
>> > >
>> > > https://www.facebook.com/douglasfernandofischer/posts/19729960728
>> > > 153
>> > > 1
>> > > 8
>> > >
>> > > Seria bem legal se vocês fizessem algo parecido em suas redes de 
>> > > contatos.
>> > >
>> > > Abraço!
>> > >
>> > >
>> > >
>> > > Em sex, 9 de nov de 2018 às 18:14, CAIDA Spoofer Project < 
>> > > spoofer-in fo at caida.org> escreveu:
>> > >
>> > > >
>> > > > Em resposta ao feedback de comunidades de segurança 
>> > > > operacional, o projeto de validação de medidas de endereço de 
>> > > > origem do CAIDA
>> > > > (https://spoofer.caida.org) está automaticamente gerando 
>> > > > relatórios mensais de prefixos BGP originados por ASes os quais 
>> > > > recebemos pacotes com endereço de origem spoofed (alterado).
>> > > > Estamos publicando esses relatórios para garantir que essa 
>> > > > informação alcance contatos operacionais nesses ASes.
>> > > >
>> > > > Esse relatório resume testes conduzidos no bra.
>> > > >
>> > > > Correções de configurações inferidas durante Out/2018:
>> > > > Nome do ASN                                           Corrigido em
>> > > >  17222 Mundivox LTDA                                  2018-10-01
>> > > >  28130 CERTTO TELECOMUNICAÇÕES LTDA                   2018-10-02
>> > > > 267460 ATILA BARBOSA DOS SANTOS EIREL                 2018-10-22
>> > > >
>> > > > Mais informações sobre as correções inferidas estão disponíveis em:
>> > > > https://spoofer.caida.org/remedy.php
>> > > >
>> > > > Problemas de Validação de Endereço de Origem inferidos em Out/2018:
>> > > > Nome do ASN                            Primeiro registro  Último
>> > > > registro
>> > > >   8167 Brasil Telecom S/A - Filial Di     2017-05-12        2018-
>> > > > 10-26
>> > > >  18881 TELEFÔNICA BRASIL S.A              2017-05-18        2018-
>> > > > 10-31
>> > > >   7738 Telemar Norte Leste S.A.           2017-07-23        2018-
>> > > > 10-22
>> > > > 262462 ARANET COMUNICAÇÃO LTDA            2018-03-20        2018-
>> > > > 10-29
>> > > >  28656 Suporte Tecnologia e Instalaç     2018-03-21        2018-10-
>> > > > 25
>> > > >  28573 CLARO S.A.                         2018-04-23        2018-
>> > > > 10-21
>> > > > 262288 Brasil Radiowave Ltda-ME           2018-05-17        2018-
>> > > > 10-25
>> > > > 262485 S.C. RIO TELECOMUNICACOES E IN     2018-05-17        2018-
>> > > > 10-26
>> > > >  52866 IVeloz Telecom Serv. em Teleco     2018-05-17        2018-
>> > > > 10-14
>> > > >  28186 ITS TELECOMUNICAÇÕES LTDA          2018-05-24        2018-
>> > > > 10-29
>> > > > 266280 BERTOLDI & VENANCIO INTERNET V     2018-06-10        2018-
>> > > > 10-31
>> > > >  52568 B. & S. COMERCIO E SERVICOS LT     2018-07-09        2018-
>> > > > 10-22
>> > > >  52888 UNIVERSIDADE FEDERAL DE SAO CA     2018-07-11        2018-
>> > > > 10-23
>> > > > 262323 STAR CONECT TELECOM LTDA           2018-07-20        2018-
>> > > > 10-28
>> > > >  53137 TCA Internet                       2018-07-25        2018-
>> > > > 10-11
>> > > >  52625 X-PC Telecom                       2018-08-01        2018-
>> > > > 10-30
>> > > > 262678 CMD Informatica Ltda               2018-08-14        2018-
>> > > > 10-16
>> > > > 267460 ATILA BARBOSA DOS SANTOS EIREL     2018-08-20        2018-
>> > > > 10-14
>> > > > 263327 ONLINE SERVICOS DE TELECOMUNIC     2018-08-24        2018-
>> > > > 10-27
>> > > >  52604 V + NET INTERNET BANDA LARGA       2018-09-10        2018-
>> > > > 10-29
>> > > > 265118 Diego Kremer dos Santos ME         2018-09-22        2018-
>> > > > 10-03
>> > > >  28165 Wireless Comm Services LTDA        2018-09-26        2018-
>> > > > 10-16
>> > > > 262808 Brasilnet Telecomunicações L     2018-09-30        2018-10-
>> > > > 08
>> > > > 262972 Info Sete Telecom                  2018-10-01        2018-
>> > > > 10-01
>> > > >  52637 Station Net Provedor de Intern     2018-10-02        2018-
>> > > > 10-29
>> > > >  19763 Fundacao Universidade do Vale      2018-10-02        2018-
>> > > > 10-02
>> > > > 263631 Via Link Telecomunicacoes          2018-10-03        2018-
>> > > > 10-23
>> > > > 263567 FIBER ONE DO BRASIL LTDA ME        2018-10-09        2018-
>> > > > 10-09
>> > > > 265013 Empresarial Net Banda Larga LT     2018-10-29        2018-
>> > > > 10-29
>> > > >
>> > > > Mais informações sobre esses testes e de onde recebemos pacotes 
>> > > > alterados estão disponíveis em:
>> > > > https://spoofer.caida.org/recent_tests.php?country_include=bra&
>> > > > no_
>> > > > b
>> > > > loc
>> > > > k=1
>> > > >
>> > > > Por favor, envie quaisquer sugestões ou feedback para 
>> > > > spoofer-info at caida.org
>> > > > --
>> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > > >
>> > >
>> > > --
>> > > Douglas Fernando Fischer
>> > > Engº de Controle e Automação
>> > > --
>> > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > > --
>> > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>>
>>
>> --
>> Douglas Fernando Fischer
>> Engº de Controle e Automação
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>


--
Douglas Fernando Fischer
Engº de Controle e Automação
--
gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list